- - Sichere Passwörter nutzen: Wählen Sie für alle Wordpress-Nutzer Passwörter mit einer Länge von acht oder mehr Zeichen, darunter sollten groß- und kleingeschriebene Zeichen und auch Sonderzeichen sein.
- - Nutzer »Admin« eliminieren: Der Administrator-Nutzer eines Blogs muss nicht »Admin« oder »Administrator« heißen.
- - Google Webmaster Tools nutzen: Melden Sie Ihre Website bei den »Google Webmaster Tools« an und aktivieren Sie die E-Mail-Benachrichtigung für wichtige Meldungen. So werden Sie sofort informiert, falls Google Sicherheitswarnungen bezüglich Ihrer Website hat.
- - Zugang zum Adminbereich schützen: Sperren Sie den Zugriff zum Adminbereich mit einem Verzeichnisschutz. Benutzer müssen sich dann zweimal einloggen, bevor sie Zugang zum Administrationsbereich erhalten.
- - Nutzerrechte einschränken: In der Regel werden Sie mit mehreren Benutzern arbeiten. Vergeben Sie die Benutzerrechte so restriktiv wie nur möglich. Wer nur Texte schreiben muss, der sollte keine Möglichkeit haben, weitere Administrationsfunktionen auszuführen. Mit dem Plugin »Members«[i] können Sie detailliert festlegen, welche Benutzergruppen welche Rechte besitzen.
- - Plugins im Rahmen halten: Installieren Sie nur die Plugins (Funktionserweiterungen), die Sie tatsächlich benötigen. Verzichten Sie auf Plugins, die nur wenige oder keine positiven Nutzerbewertungen haben.
- - Login-Versuche beschränken: Mit dem Wordpress-Plugin »Limit Login Attempts«[ii] können Sie die Anzahl der Login-Versuche in den Administrationsbereich begrenzen. Angreifer, die mit automatischen Skripten die Passwörter Ihrer Wordpress-Nutzer knacken wollen, haben es somit schwerer.
- - Website regelmäßig scannen: Überprüfen Sie regelmäßig, ob Ihre Website von schädlicher Software (Malware) infiziert ist. Den Job erledigt beispielsweise das Plugin »Sucuri Sitecheck Malware Scanner«[iii].
- - Tunen Sie Ihre Installation: Das Plugin »Secure WordPress«[iv] stählt Ihre Installation, indem es einige unsichere Standardeinstellungen behebt.
- - Das Allerwichtigste: regelmäßige Backups und Updates – sorgen Sie dafür, dass Ihre Webserver-Dateien, aber auch Ihre Wordpress-Datenbank mindestens einmal täglich gesichert werden. Und: Sorgen Sie dafür, dass Ihre Blogging-Software immer auf dem neuesten Stand bleibt, die Plugins ebenso! Selbstredend muss vor jedem Update ein Backup angefertigt werden, für den Fall, dass etwas schiefläuft.
- - Weitere Tipps online: Im Web finden sich zahlreiche sinnvolle Anleitungen zur Absicherung von Wordpress. Eine gute Quelle ist die Website von Frank Bültge[vii]. Zudem findet sich diese Checkliste im Blog des Autoren und kann dort diskutiert und ergänzt werden: http://www.lotsofways.de/checkliste-wordpress-sicher-machen/
[i] http://wordpress.org/extend/plugins/members/
[ii] http://wordpress.org/extend/plugins/limit-login-attempts/
[iii] http://wordpress.org/extend/plugins/sucuri-scanner/
[iv] http://wordpress.org/extend/plugins/secure-wordpress/
[vi] http://wordpress.org/extend/plugins/wordpress-backup-to-dropbox/
[vii] http://bueltge.de/wordpress-tipps/
